Le 17 novembre 2025, le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a publié son rapport de plainte concernant la cyberattaque de décembre 2024 contre le système d’information sur les élèves (SIE) PowerSchool. Ce rapport énonce les lignes directrices du CIPVP relatives aux obligations des organismes publics ontariens qui utilisent des systèmes externes de traitement des renseignements personnels.
Constats
Vingt conseils scolaires publics ont signalé au CIPVP l’incident impliquant PowerSchool.
Un auteur malveillant a utilisé des comptes utilisateur compromis, assortis de privilèges élevés, pour accéder à de nombreux environnements du SIE et en extraire des données sur d’anciens élèves, des élèves actuels, des parents ou tuteurs et des enseignants.
Le CIPVP conclut que, dans l’ensemble, les organismes n’avaient pas pris de mesures raisonnables pour prévenir les intrusions. Après avoir analysé la gestion du dossier PowerSchool par les conseils visés, il souligne la nécessité pour les conseils scolaires de collaborer en vue d’obtenir de meilleures protections contractuelles et d’administrer proactivement leur relation avec PowerSchool pour mieux protéger les renseignements sur les élèves.
Implications du rapport
Depuis une quinzaine d’années, les conseils scolaires et d’autres organismes publics ontariens externalisent de nombreux services informatiques et, ce faisant, confient à des fournisseurs le mandat de protéger les renseignements personnels des élèves, des employés et d’autres personnes. L’incident impliquant PowerSchool et le rapport du CIPVP font ressortir l’obligation de diligence raisonnable des organismes qui adoptent ce modèle de prestation de services. L’externalisation peut engendrer des économies et améliorer la sécurité, mais elle présente divers risques associés à une diminution du pouvoir de contrôle. Désormais, on sait que le CIPVP s’attend à un contrôle diligent rigoureux des négociations contractuelles et du travail des fournisseurs.
Recommandations pour les conseils scolaires et les organismes ontariens
Voici nos cinq conseils pratiques.
Conseil no 1 – Évaluez les risques avant d’opter pour l’externalisation
Avant d’externaliser des services informatiques névralgiques, pesez les avantages potentiels et les risques de renoncer à un certain contrôle sur les données sensibles. Une évaluation préalable des risques est essentielle, surtout quand le nombre de fournisseurs potentiels est limité.
Par ailleurs, le CIPVP souligne que l’externalisation ne libère pas les conseils de leur responsabilité et que la gestion diligente des fournisseurs nécessite des ressources. Vous devez donc vérifier si vous êtes vraiment en mesure de gérer votre projet d’externalisation.
Conseil no 2 – Négociez pour assurer la conformité
Le CIPVP s’attend à ce que les organismes tentent de négocier des clauses de protection prévoyant une surveillance proactive et une obligation de reddition de comptes, conformément au document d’orientation de 2024 intitulé La protection de la vie privée et l’accès à l’information dans les contrats du secteur public avec des fournisseurs de services externes. Par exemple, il encourage les organismes à lancer des initiatives d’approvisionnement concertées.
Même dans les cas où la parfaite conformité aux attentes du CIPVP est impossible, le fait d’avoir négocié de bonne foi des modalités de protection des données est un bon indicateur de diligence raisonnable. Au terme des négociations, il pourrait subsister un écart entre le contrat idéal et le contrat réellement possible. L’externalisation peut toutefois s’avérer raisonnable malgré cet écart : l’imperfection des modalités de protection des données est un risque que les organismes doivent identifier, évaluer et atténuer par des moyens appropriés.
Conseil no 3 – Élaborez une politique de gestion des fournisseurs
Les responsabilités internes en matière de surveillance des fournisseurs doivent être définies clairement. Les organismes doivent donc désigner des responsables de la gestion du processus contractuel et du suivi de la conformité et du travail des fournisseurs. La clarté des rôles favorise l’identification rapide et l’atténuation efficace des risques, conformément aux exigences d’administration contractuelle proactive et continue du CIPVP.
Conseil no 4 – Mettez en place des mécanismes vérifiables
Récemment, le CIPVP a souligné l’importance de la vérifiabilité, en affirmant que les organisations doivent mettre en place [traduction] « un mécanisme systématique et vérifiable de gouvernance des données grâce auquel elles peuvent montrer concrètement aux autorités, preuves à l’appui, ce qu’elles font pour s’acquitter de leurs obligations légales ». Les organismes doivent être en mesure de démontrer – pas seulement d’affirmer – qu’ils ont agi avec diligence raisonnable. D’où l’importance de garder des traces écrites des évaluations des fournisseurs, des négociations contractuelles et des activités de surveillance continue.
Conseil no 5 – Prévoyez une stratégie de sortie
Les organismes gagnent à dresser un plan clair de cessation des services externalisés et de transfert des données vers un nouveau fournisseur. Ainsi, en cas d’intrusion ou de manquement aux obligations, les organismes pourront rompre les liens avec leur fournisseur sans perturber les services ni compromettre l’intégrité des données. La planification de la continuité est un aspect crucial de la gestion des risques liés aux fournisseurs.
Conclusion
Bien que le rapport sur PowerSchool ne renferme aucun nouveau principe, le CIPVP y réitère sa position de longue date : en matière d’externalisation, une gestion responsable est essentielle au respect des obligations légales. Il faut absolument tenter de négocier des protections malgré la résistance potentielle du fournisseur et, après la signature du contrat et le début des services, assurer une surveillance continue.
BLG accompagne de nombreux conseils scolaires et organismes publics ontariens dans divers dossiers, dont la négociation de contrats de TI, la gestion des risques et le respect des règles de sécurité et de protection des renseignements personnels. Si vous avez besoin d’aide pour remplir vos obligations, communiquez avec nous.
